구 분 |
세 부 조 치 사 항 |
1. 관리적 보호조치 |
1.1. 정보보호 조직의 구성·운영 |
1.1.1. 정보보호조직의 구성 |
- 정보보호 최고책임자, 정보보호관리자, 정보보호담당자로 구성된 정보보호조직을 운영
|
정보보호 최고책임자의 지정 |
- 기업의 정보보호를 책임지는 이사 이상의 상근임원으로 지정
|
1.1.3. 정보보호조직 구성원의 역할 |
- 정보보호 최고책임자는 정보보호 업무와 조직을 총괄 지휘
- 정보보호관리자는 정보보호 업무의 실무를 총괄하고 관리
- 정보보호담당당자는 정보보호 업무의 분야별 실무를 담당
|
1.2. 정보보호 계획 등의 수립 및 관리 |
1.2.1. 정보보호 방침의 수립·이행 |
- 정보보호 목표, 범위, 책임 등을 포함한 정보보호 방침(policy) 수립
- 정보통신서비스와 관련된 모든 법, 규제, 계약, 정책, 기술상의 요구사항을 문서화하고 시행
|
1.2.2. 정보보호 실행계획의 수립·이행 |
- 정보보호 방침을 토대로 예산, 일정 등을 포함한 당해 연도의 정보보호 실행계획을 수립
- 최고경영층이 실행계획을 승인하고 정보보호 최고책임자가 추진 상황을 매 반기마다 점검
|
1.2.3. 정보보호 실무지침의 마련·준수 |
- 정보통신설비 및 시설에 대한 관리적·기술적·물리적 보호조치의 구체적인 시행 방법·절차 등을 규정한 정보보호 실무지침을 마련
- 정보보호 최고책임자가 실무지침을 승인하고 관련 법·제도, 설비의 교체 등 변경사유가 발생할 경우 보완하여 관리
|
1.2.4. 정보보호 사전점검 |
- 새로운 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획, 설계, 구현, 테스트 등에서 정보보호에 관한 사항을 고려
|
1.3. 인적 보안 |
1.3.1. 내부인력 보안 |
- 임직원의 전보 또는 퇴직시 즉시 관련 계정 등에 대한 접근권한을 제거
- 임직원에게 정보보호 인식을 제고할 수 있는 홍보(정보보호 실천수칙 보급 등)를 실시
- 정보보호조직의 구성원 및 정보보호와 관련된 업무에 종사하는 자에게 정기적으로 정보보호 교육 실시
|
1.3.2. 외부인력 보안 |
- 자사 직원이 아닌 자를 업무에 활용할 경우 보안서약을 징구
|
1.3.3. 위탁운영 보안 | - 전산업무를 외부에 위탁할 경우 보안계약서 또는 서비스수준협약 등에 '정보보호에 관한 위탁업체의 책임범위', '위탁업무 중단에 따른 비상대책' 등을 반영
|
1.4.
이용자 보호 | 1.4.1.
정보보호 정보제공 | - 이용자에게 침해사고 예·경보, 보안취약점, 계정·비밀번호 관리방안 등의 정보를 지속적으로 제공
|
1.4.2.
정보보호 현황 공개 | - 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 자사 홈페이지 등에 공개
|
1.5.
침해사고 대응 | 1.5.1.
침해사고 대응 계획의 수립·이행 | - 침해사고 정의 및 범위, 대응체계(보고 및 조치 체계), 대응 방법 및 절차, 복구 방법 및 절차, 증거자료 수집 및 보관 등을 포함한 침해사고 대응계획을 마련·시행
|
1.6.
정보보호 조치 점검 | 1.6.1. 정보보호조치의 자체 점검 | - 정보보호관리자는 매년 정보보호조치 및 정보보호 실무지침의 기준에 따라 자체적으로 정보보호 현황을 점검
|
1.7.
정보자산 관리 | 1.7.1. 정보통신설비 및 시설의 현황 관리 | - 정보통신망 구성도를 마련하고 변경사항이 있을 경우 보완·관리
정보통신설비, 시설의 목록(용도 및 위치 등 포함) 작성 및 네트워크와 분리된 환경에서 안전하게 관리
|
1.8.
정보보호 투자 | 1.8.1.
정보보호 투자계획 수립·이행 | - 기업의 정보보호를 위해 위험관리에 기반한 적정 수준(정보기술 부문 예산의 5%이상)의 정보보호 예산 편성 및 집행
|
2.
기술적 보호조치 | 2.1.
네트워크 보안 | 2.1.1.
트래픽 모니터링 | - 네트워크 모니터링 도구를 이용하여 백본망, 주요노드 및 외부망과 연계되는 주요회선의 트래픽 소통량을 24시간 모니터링
|
2.1.2.
무선서비스 보안 | - 무선랜서비스, 무선인터넷서비스를 제공할 경우에는 사용자인증, 데이터암호화 등 보안조치를 마련
|
2.1.3.
정보보호시스템 설치·운영 | - 외부망과 연계되는 구간에 침입차단시스템, 침입탐지시스템 등 네트워크의 안전성을 제고할 수 있는 저보보호시스템을 설치·운영
|
2.1.4.
정보보호를 위한 모니터링 | - 주요시스템·네트워크 사용 및 접근이 명확하게 허용된 범위안에 있는지를 확인하기 위한 모니터링 시스템 구축 또는 위탁 운영을 통하여 침해사고 탐지·대응 체계 운영
|
2.2.
정보통신 설비 보안 | 2.2.1.
웹서버 보안 | - 외부에 서비스를 제공하는 웹서버는 단독서버로 운영하고 DMZ에 설치
|
2.2.2.
DNS서버 보안 | - 과부하에 대비한 부하분산 대책을 마련
설정파일 백업 실시
|
2.2.3.
DHCP서버 보안 | - 과부하에 대비한 부하분산 대책을 마련
- 설정파일 백업 실시
- IP 할당 상황 등에 대한 로그기록 유지·관리
|
2.2.4.
DB서버 보안 | - 내부망에 설치
외부망에서 직접 접속할 수 없도록 네트워크를 구성
|
2.2.5.
라우터/스위치 보안 | - ACL(Access Control List) 등의 접근제어 기능을 적용할 수 있는 설비를 사용
|
2.2.6.
정보보호시스템 보안 | - 이상징후 탐지를 알리는 경고 기능을 설정하여 운영
정보보호시스템 보안기능(비정상 트래픽 차단 등)의 정상 작동여부를 주기적으로 점검(월 1회 이상)
|
2.2.7.
취약점 점검 | - 연 1회 이상 취약점 점검을 실시하고 발견된 취약점을 보완
|
2.2.8.
접근통제 및 보안 설정 관리 | - 인가된 자만 시스템에 접속할 수 있도록 설정하고, 인터넷 등을 통해 외부에서 접속할 경우 일회용 패스워드 사용 등 인가 절차를 강화
|
2.2.9.
관리자 계정의 비밀번호 관리 | - 관리자 계정의 비밀번호는 8자리 이상으로 설정. 단, 설정 가능한 자리수가 8자리 미만일 떄는 설정 가능한 최대의 자리수로 설정
- 최소 3개월에 1회 이상 비밀번호 변경
|
2.2.10.
로그 관리 | - 최소 1개월 이상 로그기록 유지·관리(정보보호시스템은 3개월)
|
2.2.11.
보안패치 관리 | - 보안패치 정보를 주기적으로 입수하고 적용
주요 보안패치에 대해서는 적용일 등 패치정보를 기록·관리
|
2.2.12. 백업 및 복구 | - 주요정보를 주기적으로 백업
백업 담당자, 백업 및 복구 방법·절차·주기 등을 기록·관리
|
2.2.13.
중요정보의 암호화 | - 비밀번호는 복호화 되지 않도록 일방향 암호화하여 저장
주민등록번호, 신용카드번호 및 계좌번호, 정보자산현황 등은 안전한 암호알고리즘으로 암호화하여 저장
|
2.2.14.
관리용 단말 보안 | - 일반적인 업무 및 개인적인 용도의 사용을 금지하고 DB서버, 웹서버 등 주요 정보통신설비의 접속에만 사용
- 전용 또는 인터넷과 격리된 환경(필요시 접근통제 정책을 수집하고 제한적 접속 허용)에서 인가된 이용자만 이용할 수 있도록 통제
- 관리용 단말로의 외부접속 차단, 주기적 보안패치 및 악성 소프트웨어 예방·탐지 활동 실시
|
3. 물리적 보호조치 | 3.1.
출입 및 접근 보안 | 3.1.1. 정보통신시설의 출입·접근 통제 | - 비인가자가 출입할 수 었도록 잠금장치를 설치
출입자의 기록을 1개월 이상 유지·보관
|
3.2.
부대설비 및 시설 운영·관리 | 3.2.1.
백업설비 및 시설 설치·운영 | - 주요정보를 백업하여 보관할 수 있는 백업설비 및 시설을 설치·운영
|